Los ataques de ingeniería social son un tipo de manipulación que busca aprovecharse de la psicología humana y engañar a las personas para que revelen información confidencial o realicen acciones que podrían ser perjudiciales tanto para ellas mismas como para la empresa para la que trabajan. Este tipo de ataques puede presentarse de diversas formas, como correos electrónicos de phishing o estafas telefónicas, y pueden evadir fácilmente incluso las defensas técnicas más avanzadas. En este artículo, analizaremos las diversas formas de ataques de ingeniería social, cómo reconocerlos y las contramedidas que puede tomar para evitar ser víctima de una de estas estafas.
Suplantación de identidad (phishing)
El phishing es uno de los tipos de ingeniería social más comunes. Cuando un atacante envía un mensaje o correo electrónico que parece provenir de una fuente confiable, como un banco o una empresa conocida, con el objetivo de engañar al receptor para que proporcione información personal o haga clic en un enlace peligroso, se trata de un ataque de phishing. Estos correos electrónicos suelen usar un lenguaje apresurado o un tono de urgencia para que la persona que los lee actúe de inmediato sin considerar primero sus opciones. Para evitar estafas de phishing, es importante ser escéptico al recibir correos electrónicos no solicitados, verificar la URL de los enlaces antes de hacer clic y nunca responder a un correo electrónico no solicitado proporcionando información personal.
Vishing
El vishing es otra forma común de ingeniería social que implica que un atacante utilice un sistema de respuesta de voz interactiva (RV) activado por voz para intentar engañar a alguien y conseguir que proporcione información confidencial. Esto puede hacerse mediante un mensaje de texto o incluso una llamada telefónica de alguien que se hace pasar por un "representante" de un banco u otra institución. En estos ataques se suelen utilizar tácticas de intimidación, como decir que ha habido actividad sospechosa en la cuenta, para que la víctima proporcione información personal o de inicio de sesión. Por ejemplo, pueden decir que ha habido actividad extraña en la cuenta. Es fundamental no revelar nunca información personal por teléfono, desconfiar de las llamadas no solicitadas y verificar siempre de forma independiente la identidad de la persona que llama para protegerse de los ataques de vishing.
Pretextos
Otra forma de ingeniería social que está ganando cada vez más popularidad es el uso de pretextos. Cuando un atacante construye una personalidad o un entorno ficticio para engañar a las víctimas y conseguir que divulguen su información personal, esta táctica se conoce como "ingeniería social". Para obtener información confidencial de una víctima, un adversario puede, por ejemplo, hacerse pasar por un empleado de una institución financiera o un organismo gubernamental. Es importante ser escéptico ante las solicitudes no solicitadas de información personal, verificar de forma independiente la identidad de la persona que realiza la solicitud y nunca proporcionar información personal a menos que se esté seguro de la identidad de la persona para protegerse de los ataques de pretextos. Los ataques de pretextos se pueden prevenir siendo escéptico ante las solicitudes no solicitadas de información personal.
Cebo
Un tipo de ataque de ingeniería social se conoce como "baiting" o cebo, y consiste en usar la promesa de algo de valor para engañar a las personas para que proporcionen información personal o realicen acciones que podrían ser perjudiciales para sí mismas o su organización. El cebo es solo un ejemplo de ingeniería social. Un atacante podría, por ejemplo, ofrecer una tarjeta de regalo gratis o la oportunidad de ganar una recompensa a cambio de la información personal del destinatario. Si desea protegerse de los ataques que utilizan cebo, es fundamental desconfiar de las ofertas que le llegan sin invitación y nunca proporcionar información personal a cambio de la promesa de algo de valor.
Scareware
El scareware es otro tipo de ataque de ingeniería social y ocurre cuando un atacante usa el miedo para engañar a alguien y conseguir que descargue malware o pague por software innecesario. Por ejemplo, un atacante podría provocar la aparición repentina de un mensaje en un ordenador indicando que el dispositivo en cuestión está infectado con un virus y que el usuario necesita ejecutar una aplicación específica para eliminar la infección. Para protegerse del scareware, nunca descargue software de una ventana emergente que no haya solicitado, mantenga siempre actualizado su antivirus y nunca pague por software innecesario.
Los ataques de ingeniería social son cada vez más complejos y combatirlos puede ser bastante difícil. Sin embargo, existen medidas que usted y su empresa pueden tomar para protegerse. Puede reducir considerablemente la probabilidad de ser víctima de robo de identidad si mantiene una actitud de escepticismo hacia los correos electrónicos, las llamadas telefónicas y las solicitudes de información personal no solicitados; verifica de forma independiente la identidad de la persona que realiza la solicitud; y se abstiene de proporcionar información personal a cambio de la promesa de algo de valor.